网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效地截获网络上的数据，这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机，通常被用来获取用户密码等。

世界上最早的窃听器是中国在2000 年前发明的。战国时代的《墨子》一 书就记载了一种 “听瓮”。这种“听瓮”是用陶制成的，大肚小口，把它埋在地下，并在瓮口蒙上一层薄薄的皮革，人伏在上面就可以倾听到城外方圆数十里的动静。到了唐代，又出现了一种 “地听”器。它是用精瓷烧制而成，形状犹如一个空心的葫芦枕头，人睡卧休息时，侧头贴耳枕在上面，就能清晰地听到30 里外的马蹄声。北宋大科学家沈括在他著名的《梦溪笔谈》一书中介绍了一种用牛皮做的 “箭囊听枕”。他还科学地指出，这种“箭囊听枕”之所以能够听到 “数里内外的人马声”，是因为“虚能纳声”，而大地又好像是一根 “专线”，连接着彼此两个地点，是一种传递声音信号的媒介。在江南一带，还有一种常用的 “竹管窃听器”。它是用一根根凿穿内节的毛竹连接在一起的，敷设在地下、水下或隐蔽在地上，建筑物内，进行较短距离的窃听。

自从1876年英国青年亚·贝尔发明有线电话以后，这些使用了几千年的原始窃听器，才渐渐退隐出了间谍舞台。

摘要： 长期以来，在保障业务连续性和性能的前提下，最大限度的保障数据库安全一直是数据库管理人员、安全管理人员孜孜不倦追求的安全目标。本文将主要介绍4种数据库安全审计技术，并建议优选网络监听方式。

数据库系统作为三大基础软件之一并不是在计算机诞生的时候就同时产生的，随着信息技术的发展，传统文件系统已经不能满足人们的需要，1961年，美国通用电气公司成功开发了世界上第一个数据库系统IDS(Integrated Data Store)，奠定了数据库的基础。经过几十年的发展和实际应用，技术越来越成熟和完善，代表产品有甲骨文公司的Oracle、IBM公司的DB2、微软公司的MS-SQL Server等等。

如今，数据库系统在企业管理等领域已经具有非常广泛的应用，如、账号管理、访问控制、安全审计、防病毒、评估加固等多个方面，常见的安全产品如UTM、入侵检测、漏洞扫描等产品为保障数据库系统的正常运行起到了重要作用。但是，通过对诸多安全事件的处理、分析，调查人员发现企业内部人员造成的违规事件占了较大比例。

究其原因，主要是因为这些违规行为与传统的攻击行为不同，对内部的违规行为无法利用攻击机理和漏洞机理进行分析，这就导致了那些抵御外部入侵的产品无用武之地。因此，要防止内部的违规行为，就需要在内部建设审计系统，通过对操作行为的分析，实现对违规行为的及时响应和追溯。

根据Verizon 2009调查报告(基于对2亿8500万次累计破坏行为数据进行分析)，数据破坏情况如图1所示：

Verizon数据破坏调查表从图1可以看到对数据库系统的尝试破坏行为占比最高，在75%左右。这是为什么呢?

主要原因在于：一方面由于数据库系统往往承载关键业务数据，而这些数据牵涉到企业各个方面的信息，从政治、经济而言都具备重要的价值;另一方面由于数据库系统通常比较复杂，且其对连续性、稳定性有高标准的要求，安全管理人员在缺乏相关知识的情况下，往往出现想不到、不敢想、不敢动的情况，从而导致数据库安全管理工作滞后于业务需求的满足。

实际上，关于数据库系统的安全事件层出不穷，而且有愈演愈烈之势：远有某市双色球开奖数据库被篡改，3305万巨奖险被冒领的案件;近的更有，汇丰银行2.4万账号数据被盗的例子……对此，国家相关部门非常重视，在《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全保护等级基本要求》等相关政策中，对于审计系统也有明确的要求：

--应制定能够确保系统安全审计策略正确实施的规章制度及措施

--应对重要服务器的访问行为进行审计

--应包括事件的日期、时间、类型、主体标识、客体标识和结果等

--应定期对审计记录进行审查分析，对可疑行为及违规操作，采取相应的措施，并及时报告

可见，保障数据库安全和稳定，已经成为信息时代举足轻重的一项工作。那么采取什么样的技术方式对数据库实现安全保护呢?

以下主要就数据库安全审计技术进行阐述。常见的安全审计技术主要有四类，分别是：基于日志的审计技术、基于代理的审计技术、基于网络监听的审计技术、基于网关的审计技术。

1. 基于日志的审计技术：该技术通常是通过数据库自身功能实现，Oracle、DB2等主流数据库，均具备自身审计功能，通过配置数据库的自审计功能，即可实现对数据库的审计，其典型部署示意图如图2所示：

图2日志审计技术部署示意该技术能够对网络操作及本地操作数据库的行为进行审计，由于依托于现有数据库管理系统，因此兼容性很好。

但这种审计技术的缺点也比较明显。首先，在数据库系统上开启自身日志审计对数据库系统的性能就有影响，特别是在大流量情况下，损耗较大;其次，日志审计记录的细粒度上差，缺少一些关键信息，比如源IP、SQL语句等等，审计溯源效果不好，最后就是日志审计需要到每一台被审计主机上进行配置和查看，较难进行统一的审计策略配置和日志分析。

2. 基于代理的审计技术：该技术是通过在数据库系统上安装相应的审计Agent，在Agent上实现审计策略的配置和日志的采集，常见的产品如Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的产品，其典型部署示意图如图3所示：

图3 代理审计技术部署示意：该技术与日志审计技术比较类似，最大的不同是需要在被审计主机上安装代理程序。代理审计技术从审计粒度上要优于日志审计技术，但是性能上的损耗是要大于日志审计技术，因为数据库系统厂商未公开细节，由数据库厂商提供的代理审计类产品对自有数据库系统的兼容性较好，但是在跨数据库系统的支持上，比如要同时审计Oracle和DB2时，存在一定的兼容性风险。同时由于在引入代理审计后，原数据库系统的稳定性、可靠性、性能或多或少都会有一些影响，实际的应用面较窄。

3. 基于网络监听的审计技术：该技术是通过将对数据库系统的访问流镜像到交换机某一个端口，然后通过专用硬件设备对该端口流量进行分析和还原，从而实现对数据库访问的审计。其典型部署示意图如图4所示：

图4网络监听审计技术部署示意：该技术最大的优点就是与现有数据库系统无关，部署过程不会给数据库系统带来性能上的负担，即使是出现故障也不会影响数据库系统的正常运行，具备易部署、无风险的特点;但是，其部署的实现原理决定了网络监听技术在针对加密协议时，只能实现到会话级别审计(即可以审计到时间、源IP、源端口、目的IP、目的端口等信息)，而没法对内容进行审计。不过在绝大多数业务环境下，因为数据库系统对业务性能的要求是远高于对数据传输加密的要求，很少有采用加密通讯方式访问数据库服务端口的情况，故网络监听审计技术在实际的数据库审计项目中应用非常广泛。

4 基于网关的审计技术：该技术是通过在数据库系统前部署网关设备，通过在线截获并转发到数据库的流量而实现审计，其典型部署示意图如图5所示：

图5网关审计技术部署示意该技术是起源于安全审计在互联网审计中的应用，在互联网环境中，审计过程除了记录以外，还需要关注控制，而网络监听方式无法实现很好的控制效果，故多数互联网审计厂商选择通过串行的方式来实现控制。在应用过程中，这种技术实现方式开始在数据库环境中使用，不过由于数据库环境存在流量大、业务连续性要求高、可靠性要求高的特点，与互联网环境大相径庭，故这种网关审计技术往往主要运用在对数据库运维审计的情况下，不能完全覆盖所有对数据库访问行为的审计。

通过对以上四种技术的分析，在进行数据库审计技术方案的选择时，我们遵循的根本原则建议是：

1.业务保障原则：安全建设的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，必须保障业务的正常运行和运行效率。

2.结构简化原则：安全建设的直接目的和效果是要将整个网络变得更加安全，简单的网络结构便于整个安全防护体系的管理、执行和维护。

3.生命周期原则：安全建设不仅仅要考虑静态设计，还要考虑不断的变化；系统应具备适度的灵活性和扩展性。

根据通常情况下用户业务系统7*24小时不间断运行的特点，从稳定性、可靠性、可用性等多方面进行考虑，特别是技术方案的选择不应对现有系统造成影响，建议用户朋友优先采用网络监听审计技术来实现对数据库的审计。

1、采用网络工具防御

现在科技发达，有许多工具可以让我们发现系统中的漏洞，如SATAN等。SATAN是可以分析网络的管理、测试和报告许多信息，识别一些与网络相关的安全问题。对所发现的问题，SATAN提供对这个问题的解释以及可能对系统和网络安全造成影响的程度，并且通过工具所附的资料，还能解释如何处理这些问题。

当然还有很多像这样的安全工具。包括对TCP端口的扫描或者对多台主机的所有TCP端口实现监听；分析网络协议、监视控制多个网段等，正确使用这些安全工具，及时发现系统漏洞，才能防患于未然。

而对于WindowsNT系统平台，可定期检查EventLog中的SECLog记录，查看是否有可疑的情况，防止网络监听与端口扫描。

2、安装防火墙

防火墙型安全保障技术是基于被保护网络具有明确定义的边界和服务、并且网络安全的威胁仅来自外部的网络。通过监测、限制以及更改跨越“防火墙”的数据流，尽可能的对外部网络屏蔽有关被保护网络的信息、结构，实现对网络的安全保护，因此比较适合于相对独立，与外部网络互连途径有限并且网络服务种类相对单一、集中的网络系统，如Internet。“防火墙”型系统在技术原理上对来自内部网络系统的安全威胁不具备防范作用，对网络安全功能的加强往往以网络服务的灵活行、多样性和开放性为代价，且需要较大的网络管理开销。

防火墙型网络安全保障系统实施相当简单，是目前应用较广的网络安全技术，但是其基本特征及运行代价限制了其开放型的大规模网络系统中应用的潜力。由于防火墙型网络安全保障系统只在网络边界上具有安全保障功能，实际效力范围相当有限，因此“防火墙”型安全技术往往是针对特定需要而专门设计实施的系统。

对于个人用户，安装一套好的个人防火墙是非常实际而且有效的方法。现在许多公司都开发了个人防火墙，这些防火墙往往具有智能防御核心，攻击，并进行自动防御，保护内部网络的安全。

3、对网络上传输的信息进行加密，可以有效的防止网络监听等攻击

目前有许多软件包可用于加密连接，使入侵者即使捕获到数据，但无法将数据解密而失去窃听的意义。

首先要从购买手机时就开始防范。购买渠道是一个很重要的环节。 其次，不要随便到非指定维修点修理手机，不要轻易将手机借给别人使用，如果对您的手机有所怀疑，应尽早到厂商指定维修点进行检测。 对于前面介绍的大型移动电话监听系统，因为它已经是非常“标准”的间谍器材了，如果这种窃听器出现在我们身边，由于它的功率较大，反间谍部门及警方会侦测并发现这些偷听者，并且对偷听者的惩罚是非常严厉的。

在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。

Ethernet（以太网，它是由施乐公司发明的一种比较流行的局域网技术，它包含一条所有计算机都连接到其上的一条电缆，每台计算机需要一种叫接口板的硬件才能连接到以太网）协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。

在网络监听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包，在监听到的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP会话的包整理到一起就相当不容易了，如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet上那么多的协议，运行进起的话这个监听程序将会十分的大哦。

现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广域网中，但这个想法很快就被否定了。如果真是这样的话我想网络必将天下大乱了。而事实上现在在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不足道了。

网络监听在上述中已经说明了。它是为了系统管理员管理网络，监视网络状态和数据流动而设计的。但是由于它有着截获网络数据的功能所以也是黑客所惯用的伎俩之一。

一般检测网络监听的方法通过以下来进行：

网络监听说真的，是很难被发现的。当运行监听程序的主机在监听的过程中只是被动的接收在以太网中传输的信息，它不会跟其它的主机交换信息的，也不能修改在网络中传输的信息包。这就说明了网络监听的检测是比较麻烦的事情。

一般情况下可以通过ps-ef或者ps-aux来检测。但大多实施监听程序的人都会通过修改ps的命令来防止被ps-ef的。修改ps只需要几个shell把监听程序的名称过滤掉就OK了。一能做到启动监听程序的人也绝对不是个菜的连这个都不懂的人了，除非是他懒。

上边提到过。当运行监听程序的时候主机响应一般会受到影响变的会慢，所以也就有人提出来通过响应的速率来判断是否受到监听。如果真是这样判断的话我想世界真的会大乱了，说不准一个时间段内会发现无数个监听程序在运行呢。呵呵。

如果说当你怀疑网内某太机器正在实施监听程序的话（怎么个怀疑？那要看你自己了），可以用正确的IP地址和错误的物理地址去ping它，这样正在运行的监听程序就会做出响应的。这是因为正常的机器一般不接收错误的物理地址的ping信息的。但正在监听的机器就可以接收，要是它的IP stack不再次反向检查的话就会响应的。不过这种方法对很多系统是没效果的，因为它依赖于系统的IP stack。

另一种就是向网上发大量不存在的物理地址的包，而监听程序往往就会将这些包进行处理，这样就会导致机器性能下降，你可以用icmp echo delay来判断和比较它。还可以通过搜索网内所有主机上运行的程序，但这样做其的难度可想而知，因为这样不但是大的工作量，而且还不能完全同时检查所有主机上的进程。可是如果管理员这样做也会有很大的必要性，那就是可以确定是否有一个进程是从管理员机器上启动的。

在Unix中可以通过ps –aun或ps –augx命令产生一个包括所有进程的清单：进程的属主和这些进程占用的处理器时间和内存等。这些以标准表的形式输出在STDOUT上。如果某一个进程正在运行，那么它将会列在这张清单之中。但很多黑客在运行监听程序的时候会毫不客气的把ps或其它运行中的程序修改成Trojan Horse程序，因为他完全可以做到这一点的。如果真是这样那么上述办法就不会有结果的。但这样做在一定程度上还是有所作为的。在Unix和Windows NT上很容易就能得到当前进程的清单了。但DOS、Windows9x好象很难做到哦，具体是不是我没测试过不得而知。

还有一种方式，这种方式要靠足够的运气。因为往往黑客所用的监听程序大都是免费在网上得到的，他并非专业监听。所以做为管理员用来搜索监听程序也可以检测。使用Unix可以写这么一个搜索的小工具了，不然的话要累死人的。呵呵。

网络监听技术是系统安全领域内一个非常敏感的话题,也是一项重要技术,具有很强的现实应用背景.对网络监听的原理和实现技术进行了比较详细的介绍,设计实现了一个网络监听器,并用其对当前互联网的安全状况进行了初步的分析。

有个叫Ifstatus的运行在Unix下的工具，它可以识别出网络接口是否正处于调试状态下或者是在进听装下。要是网络接口运行这样的模式之下，那么很有可能正在受到监听程序的攻击。Ifstatus一般情况下不会产生任何输出的，当它检测到网络的接口处于监听模式下的时候才回输出。管理员可以将系统的cron参数设置成定期运行Ifstatus，如果有好的cron进程的话可以将它产生的输出用mail发送给正在执行cron任务的人，要实现可以在crontab目录下加****/usr/local/etc/ifstatus一行参数。这样不行的话还可以用一个脚本程序在crontab下00****/usr/local/etc/run-ifstatus。

抵御监听其实要看哪个方面了。一般情况下监听只是对用户口令信息比较敏感一点（没有无聊的黑客去监听两台机器间的聊天信息的那是个浪费时间的事情）。所以对用户信息和口令信息进行加密是完全有必要的。防止以明文传输而被监听到。现代网络中，SSH（一种在应用环境中提供保密通信的协议）通信协议一直都被沿用，SSH所使用的端口是22，它排除了在不安全信道上通信的信息，被监听的可能性使用到了RAS算法，在授权过程结束后，所有的传输都用IDEA技术加密。但SSH并不就是完全安全的。至少现在我们可以这么大胆评论了。

Sniffer之所以著名，权因它在很多方面都做的很好，它可以监听到（甚至是听、看到）网上传输的所有信息。Sniffer可以是硬件也可以是软件。主要用来接收在网络上传输的信息。网络是可以运行在各种协议之下的，包括以太网Ethernet、TCP/IP、ZPX等等，也可以是集中协议的联合体系。

Sniffer是个非常之危险的东西，它可以截获口令，可以截获到本来是秘密的或者专用信道内的信息，截获到信用卡号，经济数据，E-mail等等。更加可以用来攻击与己相临的网络。

Sniffer可以使用在任何一种平台之中。而现在使用Sniffer也不可能被发现，这个足够是对网络安全的最严重的挑战。

在Sniffer中，还有“热心人”编写了它的Plugin，称为TOD杀手，可以将TCP的连接完全切断。总之Sniffer应该引起人们的重视，否则安全永远做不到最好。

手机监听器、电话监听器、无线监听器、车用数码监听器、密码监听器等，在生活中比较多数人使用的是手机，因此手机监听器被视为一块大肥肉。也被很多人积极为利益而研制开发更加简单安全的民用手机监听器。来认识下手机监听器：

软件型骇客手机

它属于一种手机窃听器，通过监听软件来实施，此方法只可以监听被监听人的一部手机。实际需要的人根本不必去购买，此软件可以在网上免费下载，它只是一款用于侦测手机噪音的应用软件而已。

芯片型骇客手机

通过加装芯片实现监听，它同样只可以监听一部手机，有些芯片供应商居然报价达八千多元，实际芯片价格不到一千元。

专业手机监听器

专业手机监听器（以色列生产），拦截距离可达上万公里，但是它已经不是在手机与基站间进行拦截了，它的有效监听距离，与地球同步通讯卫星信号覆盖范围几乎相等，但只可以监听GSM制式手机，监听器的主体与下述五的普通手机监听器相仿，但这种机器的发射功率极大，在其运行后周围的无线电信号都会受其干扰，而且在至少在两公里的距离内，所有手机都没有信号，如果使用的话，无管委及国安会马上侦测到它的具体位置，因此决定了专业手机监听器根本不可能民用，而且它的销售价格极高，为人民币四十六万，目前所知台湾有此设备出售。

即军用及间谍使用器材，对通讯信号的拦截时间只需要几十纳秒，那是国家机器才使用的，相信个人没人买得起。

主动式监听器

它可截获被监听手机的一切资料，并且可以盗用被监听号码作为主叫或被叫，总之，可以行使被监听手机的一切功能。由此可以看出，主动式监听器的危害之大，可能只有官方掌握着这种技术。

被动式监听器

被动式监听器，实际通讯公司内精通通讯网络的专业技术人员，基本上就可以组装，除了电脑之外几乎没什么硬件成本。这里不得不佩服那些从业人员的职业素质，不然手机监听器就真的就会满天飞了，道理就如同医生知道某些药物混合使用后，将会产生什么后果的道理，但出于职业道德他们不会随便去谈及一样，当然也不排除可能他们怕失去铁饭碗而已。主动式监听器和被动式监听器有一共性，就是在启动监听设备后，必须与被监听手机同处在同一个基站内，这也就是说它们都是受距离限制的，并非像某些人夸张的那样，可以无距离限制的进行电话监听，而且CDMA在监听开始时有几秒钟时间的监听滞后。那些称可以拦截几百公里、无距离限制的被动式监听器，属无稽之谈，除非全国只有一个基站。那些相信的人，只要找个通讯公司的技术人员，问一下就知道这些说法有多荒唐了，普通手机监听器只可以在手机与基站间使用。

总之，称被动式手机监听器可以远距离监听，在本人的知识和能力范围内认为是不可能的，如果真的可以的话，那只存在一种可能性，只能是出售者与电讯部门内部技术人员勾结，通过电讯部门内部的人员实施监听，但相信没人敢这样做。

GSM的原理

GSM的原理是在系统信道上把语音信号信道进行编码、加密、交织，形成突发脉冲串经调制后发射。在移动手机接收端，信号经解调后去交织、信道解码、语音解码，然后在用户的移动手机里恢复成语音信号。GSM系统在传输过程中采用窄带时分多址（TDMA）技术，它的每个载频信道的带宽是200KHz，每帧8个时隙，理论上允许一个射频同时进行8组通话，每个时隙长度为0.577ms，帧时长4.615ms，就是把时间分割成周期性的帧，每一帧再分割成许多个时间间隙，之后根据特定的时间间隙分配原则，使移动手机用户在每帧中按指定的时间间隙，向着基站发送信号，基站分别在各自指定的时间间隙中，接收到不同的移动手机用户的信号，同时基站也按规定的时间间隙，给不同的移动手机用户发射信号，各移动用户在指定的时间间隙中接受信号，这样却并不能保证，在同一信道上的用户可以相互不受干扰，这就是个别移动用户在使用移动电话的时候，偶尔会从话筒里会听到别人的谈话的原因，当就这个问题去咨询运营商的时候，他们是不会说的，当然，关于对手机监听器是在哪个环节上实施监听的，他们就更不会说了。

密钥的运算方法，采用载波侦听检测技术，采用监听软件去把手机编码进行解码就实现了。总之，那些否认手机可以被监听的人，本质都是出于各自的利益需要，否认就意味着他们在掩盖，照他们说法就是世上只有矛而没有盾，或者说是只有盾而没有矛，其实这本身就是在自相矛盾，而把手机监听器性能给刻意夸大的那些人，也是出于自身利益方面的考虑。

改装后的被动式监听器，如果使用零分贝的接收天线，可以有效拦截的距离为，大约半径六、七百米区域内的手机信号，与9600比特率的数据通信和手机短信息，如果采用高分贝接收天线，它的最大有效距离可以达到十五公里左右，这就是极限了，并且要根据具体的地理情况而定，如果要人为刻意增加监听距离，则制作成本就会增加。重庆等地形复杂的地方，由于地势的因素使天线偏高，就造成了信号越区覆盖，而产生孤岛效应，使监听距离受到限制，因此重庆使用距离只可以达到五公里左右。其次是，GSM系统是通过微蜂窝来改善网络，并且密度很大，与宏蜂窝相比它的信号覆盖范围小一些，使用微蜂窝系统是为了提高移动网络整体的通信质量，但等距离范围内的微蜂窝安装数量越多，就会直接导致被监听手机、监听笔记本频繁更换站点，而使重选增多，间接造成监听器的实际监听距离受限。

省城某通讯技术公司的业内人士告诉记者，运营商对通话过程进行了加密，但也不排除某些技术已经能够对通话内容和短信内容进行拦截。